Ransomware: Angriffe über Remote Dienste

Mehr als die Hälfte der Ransomware-Angriffe beginnen mittlerweile damit, dass Kriminelle Schwachstellen in entfernten und internetfähigen Systemen ausnutzen, da Hacker versuchen, nicht gepatchte Cybersicherheitslücken auszunutzen.

Laut einer Analyse von Ransomware-Vorfällen im vergangenen Jahr durch Forscher des Sicherheitsunternehmens Secureworks begannen 52 % der Angriffe mit böswilligen Hackern, die Remote-Dienste ausnutzten.

Schwachstellen in Internetanwendungen sind zum häufigsten Angriffsvektor für Ransomware-Operationen geworden. Oftmals sind diese Internetanwendungen in Unternehmensumgebungen auf der ganzen Welt Standard, was sie zu einem sehr verlockenden Ziel für böswillige Hacker macht.

Diese Anwendungen und Dienste sind möglicherweise mit dem Internet verbunden, weil die Unternehmen sie benötigen, um ihren Mitarbeitern die Arbeit aus der Ferne zu ermöglichen – oder die Unternehmen sind sich gar nicht bewusst, dass diese Anwendungen überhaupt mit dem Internet verbunden sind.

Laut Secureworks gehören zu den Schwachstellen, die für Ransomware-Angriffe genutzt wurden, Schwachstellen in Microsoft Exchange Server, Schwachstellen in Fortinet VPNs, eine Schwachstelle in Zoho ManageEngine, ADSelfService Plus und andere – für alle diese Schwachstellen gibt es offizielle Fixes von den Anbietern. Doch selbst wenn Sicherheits-Patches zur Verfügung stehen, bleiben viele Unternehmen anfällig für die Schwachstellen, weil das Update nicht eingespielt wird.

Das ist vor allem dann der Fall, wenn die Schwachstelle erst kürzlich bekannt wurde und Cyberkriminelle sie so schnell wie möglich ausnutzen, bevor Patches zur Verfügung gestellt werden und die Unternehmen die Möglichkeit hatten, sie anzuwenden.

„Selbst wenn ein Patch vorhanden ist, ist der Prozess des Patchens einer Schwachstelle in einer Unternehmensumgebung weitaus komplexer und langsamer als der Prozess für Bedrohungsakteure oder OST-Entwickler (Offensive Security Tools), öffentlich verfügbaren Exploit-Code als Waffe einzusetzen“, warnt der Bericht.

Das Patchen kann ein mühsamer und schwerfälliger Prozess sein, aber es ist dennoch unerlässlich, um sich vor Ransomware und anderen Malware-Angriffen zu schützen, die auf Schwachstellen in Diensten abzielen, die dem Internet ausgesetzt sind.

Während mehr als die Hälfte der untersuchten Ransomware-Vorfälle damit begannen, dass Angreifer Schwachstellen im Internet ausnutzten, waren kompromittierte Anmeldedaten – Benutzernamen und Kennwörter – der Einstiegspunkt für 39 % der Vorfälle.

Benutzernamen und Kennwörter können auf verschiedene Weise gestohlen werden, z. B. durch Phishing-Angriffe oder die Infizierung von Benutzern mit Malware, die Informationen stiehlt. Es kommt auch häufig vor, dass Angreifer schwache oder gängige Passwörter mit Brute-Force-Angriffen knacken.

Andere Methoden, die Cyberkriminelle als Ausgangspunkt für Ransomware-Angriffe verwendet haben, sind Malware-Infektionen, Phishing, Drive-by-Downloads und die Ausnutzung von Netzwerkfehlkonfigurationen.

Unabhängig davon, welche Methode zur Initiierung von Ransomware-Kampagnen verwendet wird, warnt der Bericht, dass Ransomware eine große Bedrohung bleibt, die sich aus Lücken in den Sicherheitskontrollrahmen speist.

Trotz der Herausforderungen, die mit der Vorbereitung auf Ransomware und andere bösartige Cyber-Bedrohungen verbunden sein können – insbesondere in großen Unternehmensumgebungen – empfehlen die Secureworks-Forscher, dass die Anwendung von Sicherheits-Patches eine der wichtigsten Maßnahmen ist, die Unternehmen zum Schutz ihrer Netzwerke ergreifen können.

Eine andere Form des Schutzes, die nach Ansicht der Forscher zur Verhinderung von Ransomware-Angriffen eingesetzt werden sollte, ist die Multi-Faktor-Authentifizierung (MFA).

Durch die Anwendung von MFA, insbesondere bei Anwendungen und Konten, die auf kritische Dienste zugreifen, wird es für Cyberkriminelle sehr viel schwieriger, in das Netzwerk einzudringen und sich dort zu bewegen – selbst wenn sie das richtige Passwort haben. Schritte wie diese können einen wesentlichen Beitrag dazu leisten, Ransomware-Angriffe zu unterbrechen, bevor sie überhaupt beginnen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

9 Minuten ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

25 Minuten ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

7 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

23 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago